• Bitcoin là gì?
  • Ethereum là gì?
coin68
  • Tin tức 24h
  • Tin tức coin

    Tất cả tin

    Tin tức Bitcoin

    Tin tức Ethereum

    Tin tức Ripple

    Tin tức Altcoin

    Tin tức DeFi

    Tin tức Blockchain

    Tin Tổng hợp

  • Nổi bật
  • Kiến thức
  • Chủ đề chuyên sâu
  • Coin68 TV
  • PortalNew
  • Tuyển dụng
No Result
View All Result
Coin68
  • Tin tức 24h
  • Tin tức coin

    Tất cả tin

    Tin tức Bitcoin

    Tin tức Ethereum

    Tin tức Ripple

    Tin tức Altcoin

    Tin tức DeFi

    Tin tức Blockchain

    Tin Tổng hợp

  • Nổi bật
  • Kiến thức
  • Chủ đề chuyên sâu
  • Coin68 TV
  • PortalNew
  • Tuyển dụng
No Result
View All Result
No Result
View All Result
Home Tin tức coins

Cầu nối Arbitrum có thực sự gặp lỗ hổng?

11/12/2022
— Tin tức coins
0
Share on FacebookShare on TwitterShare on Telegram

Một lần nữa, các cầu nối liên quan đến Arbitrum lại trở thành “mối lo” cho cộng đồng khi mới đây, một bài viết kỹ thuật đã được chia sẻ, tiết lộ về một vài lỗ hổng tồn tại ẩn trong sản phẩm này.

Cầu nối Arbitrum có thực sự gặp lỗ hổng?
Cầu nối Arbitrum có thực sự gặp lỗ hổng?

Nội Dung

  1. Bài blog khơi mào
  2. Phản hồi từ đội ngũ Arbitrum – Liệu cầu nối Arbitrum<>Ethereum thực sự có bug?
  3. Những câu chuyện bên lề

Bài blog khơi mào

Tài khoản Twitter tincho mới đây đã đăng tải một bài blog, chỉ ra những góc nhìn cá nhân về lỗ hổng trong cầu nối giữa Arbitrum và Ethereum.

If you think the @arbitrum bridge is secure, the message traps will make you think twice.

No need to worry though. It’s all intended!https://t.co/MzbVIlpQv7

— tincho (@tinchoabbate) December 8, 2022

Trước khi phân tích sâu về những lỗ hổng tiềm ẩn, bài đăng đã liệt kê ra những khâu cơ bản của một cầu nối, cụ thể gồm:

  • Truyền dữ liệu từ L2 – L1
  • Chờ đợi một “incentivized Relayer” (tạm dịch: người chung chuyển) nhận tin nhắn dữ liệu và chuyền về L1.
  • Tại Layer 1 (tức mainnet Ethereum), dữ liệu trên sẽ được nạp vào hợp đồng Smart contract để thực thi, từ đó giúp người dùng rút được tiền từ đầu cầu bên kia.

Theo đó, 3 lỗ hổng được bài viết chỉ ra nằm ở khâu cuối cùng, tức khâu truyền dữ liệu và xác thực ở đầu cầu nhận tiền. Song song với đó, tác giả cũng không quên so sánh với cách cầu nối Optimism xử lý các vấn đề trên và phần nào thể hiện thái độ “ủng hộ” giải pháp của đối thủ này.

Lỗ hổng đầu tiên: tác giả cho rằng khâu ghi nhận giá trị “đúng-sai” của hàm thực thị Execute Call để hở cơ hội cho kẻ tấn công. Theo đó, Relayer có thể chủ động thực hiện truyền dữ liệu “False (sai)” liên tục vào hàm, từ đó có thể tạo vòng lặp cho đến khi thực hiện được mục đích ban đầu của mình thì thôi. Tác giả cũng nhấn mạnh rằng việc truyền dữ liệu từ L2->L1 thực chất có thể “retryable” – có nghĩa là thử sai liên tiếp nhiều lần.

Lỗ hổng thứ hai: Bài viết cho rằng việc hàm truyền dữ liệu từ L2 -> L1 không bị giới hạn bởi một mức gas cụ thể. Theo đó, không có một mức gas giới hạn có thể khiến kẻ tấn công liên tục ưu tiên giao dịch gọi dữ liệu của mình, đồng thời hút sạch tiền của các Relayer một cách có chủ đích và nhanh chóng nếu có sự cố xảy ra.

Lỗ hổng thứ ba: tác giả cho rằng việc copy lại return_Data sẽ tạo ra áp lực về lưu trữ dữ liệu trong memory. Việc copy lại giá trị trong biến return_Data này có thể tạo ra một lỗ hổng về vòng lặp, cho phép kẻ tấn công liên tục lưu trữ lại giá trị nhiều lần, từ đó khiến phí gas bị đội lên một cách không kiểm soát.

Phản hồi từ đội ngũ Arbitrum – Liệu cầu nối Arbitrum<>Ethereum thực sự có bug?

Rất nhanh sau đó, nhà sáng lập và là CTO của Arbitrum – Harry Kalodner cũng đã đăng tải dòng tweet để giải đáp về những lo ngại trên.

Về lo ngại liên quan đến đơn vị Relayer có động cơ xấu và spam giá trị vào hàm Execute Call. CTO Arbitrum cho biết:

Anybody who’s bridged from Arbitrum to Ethereum knows that we expect users to redeem their own withdrawals on Ethereum after a week.

After a week, the user themself “claims” their withdrawal. There are no third party relayers — not in design and not in practice.

— Harry Kalodner (💙,💙) (@hkalodner) December 11, 2022

“Tất cả mọi người sử dụng cầu nối Arbitrum -> Ethereum đều biết rằng chúng tôi dự kiến người sẽ rút tiền khỏi Ethereum sau 1 tuần. Sau 1 tuần, người dùng có thể tự claim lượng tiền rút về này. Không có bất cứ một bên Relayer thứ 3 nào can thiệp vào thiết kế lẫn khâu thực thi.”

Nói về lí do không giới hạn phí gas khi truyền dữ liệu trên Layer2, CTO này giải thích rằng đây là bước đi hướng đến những người dùng cuối:

If a gas limit must be set on L2 a week before a transaction is executed (the author’s preferred design), there’s every possibility that the transaction might no longer be valid, leaving the user’s funds trapped forever. This dangerous behavior is totally prevented in our design.

— Harry Kalodner (💙,💙) (@hkalodner) December 11, 2022

“Nếu mức gas được giới hạn trên L2 vào thời gian 1 tuần trước khi giao dịch được thực hiện, sẽ xuất hiện khả năng rằng giao dịch trên không còn hiệu nghiệm, khiến lượng tiền của người dùng sẽ bị kẹt lại mãi mãi. Hiện tượng trên sẽ được hoàn toàn được phòng ngừa bởi thiết kế của chúng tôi.”

Tóm tắt lại toàn bộ câu trả lời của mình, Harry Kalodner cho biết tác giả bài viết trên đã đặt giả thuyết tấn công vào “Relayer” – một đối tượng thậm chí gần như không tồn tại trong hệ thống sản phẩm này. Đồng thời, CTO Arbitrum khẳng định nếu làm theo hướng đề xuất của tác giả, nó sẽ giống việc bảo vệ Relayer (một đơn vị không tồn tại), song lại đưa người dùng cuối vào những rắc rối không cần thiết.

Những câu chuyện bên lề

Sau những “nhộn nhịp” trong tối nay, một tài khoản hay chia sẻ về mảng kỹ thuật blockchain là Polynya cũng có những khuyến nghị với người dùng khi sử dụng các dạng cầu nối giữa L2-L1.

As Arbitrum One makes it to #3 across a few key economic activity metrics, now behind only Ethereum and BSC, I’d caution you from using it – it’s weakest link (instant upgradability by an opaque 4-of-6 multi-sig) makes it incredibly high riskhttps://t.co/pBrQJune1F

— polynya (@apolynya) December 11, 2022

“Vì Arbitrum One đang đứng vị trí thứ 3 về lượng tài sản được khoá vào (chỉ sau Ethereum và BSC), tôi nghĩ rằng các bạn nên cẩn thận khi sử dụng. Điểm nối yếu nhất gây ra rủi ro cực lớn chính là việc các nâng cấp thay đổi khẩn cấp sẽ chỉ cần 4/6 chữ ký multi-sig là sẽ được thông qua.”

Trước đó, một nhà nghiên cứu chuyên về kỹ thuật là bartek.eth cũng liên tục đăng tải những nội dung xoay quanh câu chuyện truyền dữ liệu qua lại giữa L1-L2. Bạn đọc nếu quan tâm thì có thể tìm đọc lại các chuỗi thread của tác giả này để có góc nhìn mới về khâu kết nối giữa các mạng lưới blockchain nhé!

The whole L2 –> L1 message passing mechanism can be summarised on this diagram /14 pic.twitter.com/RkPDcwRknC

— bartek.eth (@bkiepuszewski) December 9, 2022

Trở lại câu chuyện cầu nối của Arbitrum, trong tháng 09 vừa qua, Arbitrum Nitro (phiên bản nâng cấp của Arbitrum One) đã phát hiện ra một lỗ hổng trong khâu kết nối với Layer-1 Ethereum. Rất may là quá trình xử lý đã được xúc tiến nhanh và hacker mũ trắng nói trên đã được ghi nhận đóng góp.

Coin68 tổng hợp

Có thể bạn quan tâm:

  • DeFi Discussion ep.41: Vì sao các giải pháp cross-chain thường xuyên bị tấn công?
  • Binance khoá rút tiền với các tài khoản “bất ngờ hưởng lợi từ biến động thị trường”

Cập nhật những tin tức nhanh nhất về lĩnh vực DeFi tại kênh thông báo của Cộng đồng Fomo Sapiens!


Có thể bạn quan tâm:
Binance chặn một tài khoản người dùng vì có những cáo buộc “vô lý”
BitDAO cân nhắc mua lại 100 triệu USD token BIT
Vé vào game NFT của Yuga Labs đạt volume 6 triệu USD sau vài giờ mở bán
CoinTracker cắt giảm 20% nhân sự
Hồ Nguyên

Hồ Nguyên

Hunt - Rest - Reassess

Related Posts

Sàn NFT X2Y2 tuyên bố “hold” trước đợt mở khóa 35 triệu token
Tin tức Altcoins

Sàn NFT X2Y2 tuyên bố “hold” trước đợt mở khóa 35 triệu token

06/02/2023
Coin sàn OKB của OKX lập đỉnh kỷ lục mới
Tin tức Altcoins

Coin sàn OKB của OKX lập đỉnh kỷ lục mới

06/02/2023
a16z “thống trị” phiếu bầu trên Uniswap – CZ Binance lên tiếng
Tin tức coins

a16z “thống trị” phiếu bầu trên Uniswap – CZ Binance lên tiếng

06/02/2023
Hạ viện Mỹ quyết mời Sam Bankman-Fried đến điều trần
Tin tổng hợp

FTX đòi các chính trị gia trả lại tiền quyên góp

06/02/2023
Ngày càng có nhiều trung tâm “cai nghiện” crypto
Tin tổng hợp

Ngày càng có nhiều trung tâm “cai nghiện” crypto

06/02/2023
StarkWare công khai mã nguồn mở cho StarkNet Prover
Tin tức coins

StarkWare công khai mã nguồn mở cho StarkNet Prover

05/02/2023
Next Post
68 Trading Plan (12/12 – 18/12/2022) – FED quyết định lãi suất, thị trường sẽ đi về đâu?

68 Trading Plan (12/12 - 18/12/2022) - FED quyết định lãi suất, thị trường sẽ đi về đâu?

Tin mới nhất

My Neighbor Alice chính thức ra mắt Alpha Season 2
Dự án

My Neighbor Alice chính thức ra mắt Alpha Season 2

06/02/2023

My Neighbor Alice chính thức tung ra Alpha Season 2. Trò chơi cho người dùng tự tạo tác vùng đất...

Sàn NFT X2Y2 tuyên bố “hold” trước đợt mở khóa 35 triệu token

Sàn NFT X2Y2 tuyên bố “hold” trước đợt mở khóa 35 triệu token

06/02/2023
Coin sàn OKB của OKX lập đỉnh kỷ lục mới

Coin sàn OKB của OKX lập đỉnh kỷ lục mới

06/02/2023
a16z “thống trị” phiếu bầu trên Uniswap – CZ Binance lên tiếng

a16z “thống trị” phiếu bầu trên Uniswap – CZ Binance lên tiếng

06/02/2023

Tin xem nhiều

Token mảng trí tuệ nhân tạo (AI) là “trend” mới của thị trường?
Tin tức Altcoins

Token mảng trí tuệ nhân tạo (AI) là “trend” mới của thị trường?

12/01/2023

Token của các dự án thuộc mảng trí tuệ nhân tạo liên tục tăng mạnh trong nhiều ngày qua, từ...

FTX tuyên bố đã khôi phục được 5 tỷ USD tài sản

FTX tuyên bố đã khôi phục được 5 tỷ USD tài sản

11/01/2023
Lượng tiền rút khỏi Binance tăng vọt trong 24h qua

Binance thừa nhận trộn lẫn tiền gửi của khách hàng với tài sản bảo chứng

24/01/2023
Ước tính: 102 tỷ USD token đang chờ được mở khoá

Ước tính: 102 tỷ USD token đang chờ được mở khoá

20/01/2023
Vitalik Buterin short thành công stablecoin RAI

Vitalik Buterin “short” thành công stablecoin RAI

25/01/2023
17 đợt unlock token đáng chú ý trong tháng 02/2023

17 đợt unlock token đáng chú ý trong tháng 02/2023

02/02/2023

Tác giả nổi bật

  • Phong
  • Jane Luu
  • John
  • Julian
  • Marcus
  • Poseidon
  • Rachel
  • Song Song
  • Nguyên Hồ
  • Zane
Thư Viện

Pi Network là gì? Pi Network có lừa đảo không?

30/12/2022

Cộng đồng tiền điện tử Việt Nam những ngày qua vô cùng xôn xao trước một loại tiền điện tử...

Sui Wallet là gì? Hướng dẫn sử dụng chi tiết Sui Wallet

Sui Wallet là gì? Hướng dẫn sử dụng chi tiết Sui Wallet

16/09/2022
Changpeng Zhao

CZ -Changpeng Zhao là ai? Tầm ảnh hưởng của CZ trong thị trường Crypto lớn như thế nào?

26/05/2022
Coin68_logo

Coin68 là cổng thông tin tiền mã hóa bằng tiếng Việt nhanh nhất và chính xác nhất, mang lại cho độc giả cái nhìn tổng quan về lĩnh vực tiền mã hóa và tiến bộ công nghệ blockchain trên toàn cầu.

Liên kết với Coin68

DMCA.com Protection Status

Copyright © 2016 by Coin68

  • Giới Thiệu
  • Tuyển dụng
  • Quảng cáo
No Result
View All Result
  • Tin tức 24h
  • Tin tức coin
  • Kiến thức
  • Nổi bật
  • Chủ đề chuyên sâu
  • Coin68 TV
  • Portal
  • Tuyển dụng

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist